域控制器需要“在本机登录”组策略对象以建立终端服务客户连接

文章翻译 文章翻译
文章编号: 247989 - 查看本文应用于的产品
展开全部 | 关闭全部

症状

当您尝试连接到运行终端服务的基于 Microsoft Windows 2000 的域控制器时,您可能会收到以下错误消息:
The local policy of this system does not permit you to logon interactively.
如果您登录时使用的用户帐户是下列默认组中的成员,则不会生成此错误消息:
  • Account Operators
  • Administrators
  • Backup Operators
  • Print Operators
  • Server Operators
  • 其他基于计算机上的服务(如 TsInternetUser)的组
注意:成员服务器和独立服务器拥有“在本机登录”用户权限中包括的用户组。因此,它们不阻止非管理用户登录。

原因

如果运行终端服务的基于 Windows 2000 的域控制器没有将 Users(用户)、Authenticated Users(经验证的用户)或者 Everyone(所有人)全局组添加到“在本机登录”用户权限的组策略对象中,则可能会出现此问题。

解决方案

若要解决此问题,请修改域控制器的组策略对象:
  1. 单击开始,指向程序,指向管理工具,然后单击域控制器安全策略
  2. 双击安全设置文件夹,双击本地策略,然后单击用户权利指派
  3. 策略列下,单击在本机登录,然后单击添加
  4. 单击浏览,单击适当的组,然后单击添加
  5. 单击确定,单击确定,然后再次单击确定
  6. 在命令提示符下,键入 secedit /refreshpolicy machine_policy /enforce,按 ENTER 键,然后再次按 ENTER 键。

状态

这种现象是设计使然。

更多信息

如果运行着终端服务的基于 Windows 2000 的域控制器被配置为使用“应用程序服务器”模式执行用户访问,便会发生本文描述的问题。运行着终端服务的基于 Windows 2000 的域控制器如果被配置为使用“远程管理”模式,则不允许用户登录,但两个用于服务器管理的并存管理员帐户除外。当用户尝试连接到一个运行着终端服务的基于 Windows 2000 的域控制器上时,如果该域控制器被配置为使用“远程管理”模式,则将生成下面的错误消息:
You do not have access to logon to this Session.
“在本机登录”是 Microsoft Windows NT 4.0 终端服务器版和 Windows 2000 终端服务所要求的用户权限。这是因为终端服务会话是用户的桌面环境,用户在终端服务器计算机上时需要拥有他或她在其他工作站上时拥有的权限。

当运行终端服务的基于 Windows 2000 的计算机是一个域控制器时,便会出现本文描述的问题,因为域控制器共享一个共用的安全数据库。基于 Windows NT 4.0 的域控制器使用“安全帐户管理器”(SAM) 数据库,基于 Windows 2000 的域控制器使用 Active Directory,后者通用于所有域控制器。“在本机登录”用户权限分配到 Windows NT 4.0 的一个组中和 Windows 2000 的“组策略对象”中。在 Windows 2000 中,被赋予“在本机登录”用户权限的域控制器将与域中的所有域控制器共享此用户权限。

有关终端服务客户连接错误消息的其他信息,请单击下面的文章编号,查看 Microsoft 知识库中的文章:
246109 Error Messages Generated When Logging on with Terminal Services
224395 Error Message:You Do Not Have Access to Logon to This Session

注意:可使用 Ntrights.exe 实用工具远程添加“在本机登录”权限。

有关其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
279664 How to Set Logon User Rights with the Ntrights.exe Utility

属性

文章编号: 247989 - 最后修改: 2004年3月25日 - 修订: 2.0
这篇文章中的信息适用于:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
关键字:?
kberrmsg kbprb KB247989
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com